CISA מתריעה: הטליאו דחוף עדכוני אבטחה לאיבנטי

CISA, הסוכנות לאבטחת סייבר ותשתיות של ארצות הברית, קראה בסוף השבוע לארגונים לעדכן את המערכות שלהם ולטפל בפגיעויות של איבנטי.

הקריאה מגיעה לאחר שהסוכנות האמריקנית אישרה מוקדם יותר השנה כי שתיים מהמערכות שלה נפגעו ידי האקרים, שניצלו פגיעויות ב-Ivanti VPN. ההודעה הנוכחית של הסוכנות קראה לארגונים להוריד טלאים לשתי פגיעויות: האחת – עדכון שימנע מההאקרים יכולת השתלטות מרחוק על מערכות (RCE), דרך ניצול החולשה ב-Ivanti Standalone Sentry. זו תויגה כחולשה CVE-2023-41724. מוצר זה, Standalone Sentry, היה ידוע בעבר כ-MobileIron Sentry, והוא מבוסס על רכישת איבנטי את מובייל איירון ב-2020. הפגיעות דורגה בדרגת חומרה 9.6 מתוך 10, והיא משפיעה על כל הגרסאות הנתמכות של Standalone Sentry. היא התגלתה על ידי חוקרים במרכז אבטחת הסייבר של נאט"ו.

הטלאי השני מתקן פגיעות שסימנה CVE-2023-46808, והיא מתייחסת ל-Ivanti Neurons for ITSM.

לפי הודעת CISA, "שחקני איום בסייבר עלולים לנצל את הפגיעויות הללו כדי להשתלט על מערכות שהושגה אליהן גישה, ואז להסב נזק. אנחנו מעודדים משתמשים ומנהלי מערכות לעיין בהמלצות של איבנטי וליישם את העדכונים הדרושים".

בהודעת איבנטי מסוף השבוע נאמר כי "שחקן איום לא מאומת עלול לנצל את החולשה הראשונה ולבצע פקודות שרירותיות על מערכת ההפעלה הבסיסית של המכשיר – ולעשות זאת בתוך אותה רשת, פיזית או לוגית". לפי איבנטי "אנחנו לא יודעים על לקוחות ארגוניים כלשהם שנוצלו על ידי הפגיעות הזו".

ניצול נרחב של שלוש נקודות תורפה של Ivanti Connect Secure VPN

הפגיעויות שנחשפו, כמו גם הודעות CISA ואיבנטי, באו בעקבות ניצול נרחב של שלוש נקודות תורפה של Ivanti Connect Secure VPN, שהחל באמצע ינואר השנה. הסוכנות הנפיקה אזהרה ראשונה כבר ב-19 בינואר, ואזהרה נוספת ב-1 בפברואר, אז היא הורתה לסוכנויות אזרחיות פדרליות לנקוט באמצעי קיצוני של ניתוק זמני של Ivanti Connect Secure VPNs שלהם בתוך 48 שעות. ב-29 בפברואר, CISA הזהירה ארגונים "לשקול את הסיכון המשמעותי שעלול להיגרם מהמשך השימוש ב-Ivanti VPNs – שמנוצלים באופן נרחב".

עקב מתקפת סייבר על איבנטי, הסוכנות האמריקנית נאלצה להעביר שתי מערכות IT שלה לפעול באופן לא מקוון, וזאת אחרי שההאקרים פרצו אליהן, עת ניצלו פרצות במוצרי החברה.

"האירוע – תזכורת לכך שכל ארגון עלול להיות מושפע מפגיעות בסייבר"

לפי גורמים רשמיים, האקרים פרצו את המערכות של הסוכנות בחודש שעבר, לאחר שניצלו פרצות במוצרי איבנטי. דובר של הסוכנות הפדרלית אישר את הדיווח ואמר כי "הסוכנות זיהתה פעילות המעידה על ניצול נקודות תורפה במוצרי איבנטי שבהם אנחנו משתמשים".

"ההשפעה של הפריצה הייתה מוגבלת לשתי מערכות IT, שאותן העברנו באופן מיידי למצב לא מקוון", נמסר אז מהסוכנות. "האירוע מהווה תזכורת לכך שכל ארגון עלול להיות מושפע מפגיעות בסייבר. קיומה של תוכנית תגובה לאירועים הוא מרכיב הכרחי לחוסן בסייבר".

מאז 2020, CISA הזהירה ארגונים מפני האקרים שנתמכים על ידי מדינה, כולל כאלה שמקושרים לסין, שמנצלים נקודות תורפה במוצרי איבנטי. בינואר השנה פרסמנו כי האקרים סינים ניצלו שתי פגיעויות באיבנטי ותקפו את מערכת ניהול הפגיעויות של ספקית תוכנות ה-IT והאבטחה. לפי החברה, צמד נקודות התורפה הן בדרגת חומרה גבוהה, והניצול שלהן לרעה משפיע על ה-Connect Secure VPN שלה.

בדצמבר 2023 גילו חוקרי וולקסיטי שניתן לנצל פגיעויות אלה כדי לאפשר שליטה מרחוק במכשירי Connect Secure VPN של ספקית האבטחה. לפי החברה, אז היה ידוע לה על יותר מ-10 לקוחות ארגוניים שהושפעו מהפגיעויות.

איבנטי רכשה את הטכנולוגיה שמאחורי Connect Secure VPN כשקנתה את Pulse Secure ב-2020. החברה מתמחה בעולמות ניהול משאבי ה-IT ואבטחת המידע, ולה יותר מ-40 אלף לקוחות ארגוניים, בהם 78 מחברות פורצ'ן 100.

חוקרי וולקסיטי ייחסו את המתקפות נגד לקוחות Connect Secure לשחקן איום שפועל בחסות מדינת לאום, בשם UTA0178. ההערכות בקרב מומחי אבטחה הן שמדובר בקבוצת האקרים שפועלת בגיבוי הממשל הסיני.

מחקר שערכה החברה לפני כשנה העלה כי קבוצות האקרים מנצלות פגיעויות בארגונים שטרם עדכנו את המערכות שלהם גם לביצוע של מתקפות כופרה.

יצוין כי כבר לפני כשנה, באפריל 2023, ההאקרים ניצלו את הפגיעות, שאז הייתה חדשה – כדי לתקוף באמצעותה את ממשלת נורבגיה, והם פגעו ב-12 משרדי ממשלה של המדינה הסקנדינבית.